Vlákno názorů k článku
Vláda schválila nový pokus o migraci státní správy na jednotnou doménu .gov.cz do roku 2025 od Sofistes - Dokument provázející harmonogram migrace do domény 'gov.cz' hovoří...

Dokument provázející harmonogram migrace do domény 'gov.cz' hovoří o "doporučení sjednotit domény držené na státní úrovni pod jednotnou doménu .gov.cz, a zařadit se tak po bok vyspělých demokratických právních států NATO a EU". (Ukážeme si, jak se k nim už řadíme.) Deklarovaným cílem je "migrovat vnější (tedy pro občany viditelné) webové a e-mailové domény". Nepočítá se s migrací domén, které mají "zanedbatelný význam z hlediska občana". Jedním z cílů přijatých pravidel je "kontinuální zajištění vysoké míry kybernetické bezpečnosti". Takovému cíli je zapotřebí ze všech sil napomáhat. "To je, oč tu běží," řečeno s Hamletem. Vícekrát jsem ukázal, co se v doméně nachází už nyní. Zde je několik dalších ukázek a námětů k přemýšlení, co s tím dál a jak přistupovat k migraci pod tento, již "zahnízděný" okap.
Existuje zde např. URL https://gov1.gov.cz/pwm/private/login. Občas má nějaké provozní potíže, ale po většinu času dosud fungovalo. Když odešlete tuto jeho "upravenou" verzi https://gov1.gov­.cz/pwm/..;/ (je zapotřebí to celé vepsat do URL řádku prohlížeče), setkáte se s výzvou, abyste povolili výjimku v prohlížeči, protože nesouhlasí doménový certifikát. Vysvětlení je prosté. Dostanete se tak na stránku Tomcatu, která vám nabídne různé další možnosti, včetně neomezovaných pokusů o přihlášení se na účet jeho administrátora. Jde o starší, ale pořád zajímavý trik s řadou vedlejších, často ještě zajímavějších účinků, který byl dobře popsán např. zde https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf. Provozovatel webu (resp. autentizačních stránek podporovaných ze strany sag.cz) v této doméně už by to měl vědět, tak doufejme, že s tím něco udělá. Samozřejmě, celkem nasnadě je i otázka, zda právě v tomto případě jde o webovou aplikaci, která má větší než "zanedbatelný význam z hlediska občana" a k čemu zde tahle "služba" občanovi coby spotřebiteli informačních systémů veřejné správy vlastně slouží. Inventura tohoto "doménového zboží" by věru neuškodila, jak i tento případ dokládá.
Jiný příklad, teď z webu 'geoportal.gov.cz'. U toho si lze celkem dobře představit, čemu slouží a proč by splnil novou politikou podložená, hodnotová kritéria pro vstup do domény gov.cz. I tak by mu ale neuškodilo, aby přitom prošel bezpečnostní kontrolou, nejlépe rukama zkušených pentesterů. Dokladem může být kupř. to, že kromě jiného odkazuje na autentizaci v doméně 'monit.cenia.cz', kterou najdete zde https://monit.cenia.cz. Provádí ji ale způsobem, při kterém dochází k evidentní chybě v CORS. Apache/2.4.41, který zde běží na Ubuntu, přijme i požadavek:

POST /matomo.php HTTP/1.1
Host: monit.cenia.cz
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.141 Safari/537.36
Accept: */*
Origin: https://www.g0v.cz
Referer: https://geoportal.gov.cz/
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 486

action_name=V%C3%ADtejte%20-%20N%C3%A1rodn%C3%AD%20geoport%C3%A1l%20INSPIRE&idsite=5&rec=1&r=788270&h=1&m=7&s=59&url=https%3A%2F%2Fgeoportal.gov.cz%2Fweb%2Fguest%2Fhome&_id=7ad5a236301da0e7&_idn=0&send_image=0&_refts=0&pdf=1&qt=0&realp=0&wma=0&fla=0&java=0&ag=0&cookie=1&res=3008x1692&pv_id=QrtftK&pf_net=0&pf_srv=1949&pf_tfr=1&pf_dm1=34&uadata=%7B%22fullVersionList%22%3A%5B%5D%2C%22mobile%22%3Afalse%2C%22model%22%3A%22%22%2C%22platform%22%3A%22%22%2C%22platformVersion%22%3A%22%22%7D

na který odpoví s touto kombinací hlaviček CORS:

HTTP/1.1 204 No Response
Date: Thu, 14 Sep 2023 12:10:13 GMT
Server: Apache
Strict-Transport-Security: max-age=15552000; includeSubDomains
Access-Control-Allow-Origin: https://www.g0v.cz
Access-Control-Allow-Credentials: true
Connection: close

Jak známo, doménu 'g0v.cz' kontroluje někdo jiný než DIA. Vládní dokument hovoří rovněž o tom, že migrací se "zabrání typosquattingu domén k .gov.cz", tak uvidíme, co z toho nakonec bude. Držba domény 'g0v.cz' může být lakmusovým papírkem úspěšnosti této snahy. Ale obecně, nikomu nepovolanému není nic po obsahu odezev a po cookies z jiných domén. (Podobný problém jsem už na příkladu jiné aplikace v doméně 'gov.cz' popisoval v jednom z předchozích příspěvků.)
Jsou tady i další "weby" (v uvozovkách záměrně), bez kterých se veřejnost nejspíše už dál neobejde. Ty snad nespadají ani do kategorie microsites, jak je popisuje vládní příloha harmonogramu, když se v ní současně říká, že v případě domény 'gov.cz' se "nepočítá s migrací aktuálně užívaných „microsites“, ani zanedbatelných, nefunkčních nebo „mrtvých“ domén". Ale takové už v doméně 'gov.cz' jsou. Dobrým příkladem může být, když zavoláte URL do domény https://www.geoinfostrategie.gov.cz. Odejde požadavek:

GET / HTTP/1.1
Host: www.geoinfostrategie.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

po kterém se do prohlížeče vrátí tato redirekce:

HTTP/1.1 301 Moved Permanently
Date: Thu, 14 Sep 2023 12:17:38 GMT
Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g
Location: https://www.dia.gov.cz/egovernment/geoinformatika/geoinfostrategie2020/

neboli, prohlížeč je přesměrovám na jediný článek z webu DIA, který, jak se dál praví v redirekci, je zde: The document has moved here. Jak jste z odezvy viděli, "po cestě" můžete získat jednu užitečnou informaci "Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g". Ta ale asi běžně nespadá do kategorie "určeno a užitečné pro veřejnost".
Stejná důležitá aplikace má uchystánu rovněž doménu 'geoinfostrate­gie.gov.cz'. Zkusme zjistit, co se tam nachází za obsah. Nejprve se ale podíváme, jaký je u ní nasazen certifikát:

openssl s_client -connect geoinfostrategie.gov.cz:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep DNS:
                DNS:mvcr.cz, DNS:hzscr.cz, DNS:*.hzscr.cz, DNS:*.mvcr.cz, DNS:*.policie.cz, DNS:policie.cz, DNS:www.mvcr.cz

Aha, takže už i vnitro účelně migruje své důležité "aplikace" do domény 'gov.cz'. Ale takový hostname, který by k tomu byl zapotřebí, v AltNames certifikátu nemají, takže přes HTTPS to nepůjde (museli byste zase přetlačit varování prohlížeče před podvodným webem). Skvělé: "Ať žije antiphishingová povaha bezpečnostně prestižní domény gov.cz!" Na takové přetláčení si v doméně 'gov.cz' - za toho stavu, který je tam nyní - brzy zvyknete, a pokud ano, pak k vaší škodě. Nezbývá, než zkusit http://geoinfostrategie.gov.cz. Takže odešleme nešifrovaně prostý HTTP požadavek:

GET / HTTP/1.1
Host: geoinfostrategie.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

a dozvíme se, že na cílové adrese se nachází skutečně užitečný e-government obsah pro digitálně gramotného občana:

HTTP/1.1 403 Forbidden
Date: Thu, 14 Sep 2023 12:28:35 GMT
Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g
Last-Modified: Thu, 12 Nov 2020 16:02:45 GMT
ETag: "1181-5b3eb0ae4b340"
Accept-Ranges: bytes
Content-Length: 4481
Connection: close
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
    <head>
        <title>Test Page for the HTTP Server on Red Hat Enterprise Linux</title>
...

Je to testovací stránka webového serveru na OS Redhat, obsahující pak v sobě ještě další odkazy na manuály k RHEL-u. To je celkem nezvratný hodnotový důvod pro existenci ukázané subdomény a v ní "webové aplikace" umístěné tak v prestižní a regulované doméně 'gov.cz'.
Je z toho všeho vidět, že hlavní cíl harmonogramu migrace státních webů, jehož formulace obsahuje "efektivně, hospodárně a v maximální koordinaci" už některé státní orgány začaly odpovědně plnit. A jak je z harmonogramu již známo, do tohoto chaosu mají přijít i systémy jako třeba 'identitaobcana.cz' --> 'identita.gov.cz' (NIA). Nu, čekají nás zajímavé časy a jejich dodavatele zajímavé "výzvy", což je v posledních letech eufemistický výraz pro "průšvih".
Neměla by DIA nejprve provést všechny účelné přípravné kroky (počítaje v to i kroky bezpečnostní)? Neměly by tyto kroky obsahovat i to, že DIA nejprve z domény 'gov.cz' vymete tohle smetí (!), které se tady navršilo za ta léta nikým neřízeného websquattingu domény? (Tímto se omlouvám všem pravověrným squatterům, kteří zabydlují jen to, co nikdo jiný nepoužívá.)

Nepočítá se s migrací domén, které mají "zanedbatelný význam z hlediska občana".
Vysvětlím vám to, abyste to pochopil i vy – tato věta neříká, že již existující domény v gov.cz se zanedbatelným významem z hlediska občana budou migrovány jinam. A tato věta neříká ani to, že nebudou pod doménou gov.cz vznikat nové domény se zanedbatelným významem z hlediska občana. Tato věta se týká pouze existujících domén mimo doménu gov.cz.

Aha, takže už i vnitro účelně migruje své důležité "aplikace" do domény 'gov.cz'.
Chybí tam informace, jak jste zjistil, že to MV migruje (někdy teď). Z čeho jste usoudil, že ta doména se nepoužívá třeba už deset let nebo více.

Ať žije antiphishingová povaha bezpečnostně prestižní domény gov.cz!
Když jste se poprvé zapojil do debaty o phisihingu, aniž byste tušil, co phishing je, byla to chyba. Ale už jste o tom byl několikrát poučen, a vy stále nevíte, co phishing je a odmítáte si to zjistit. To už je hloupost.

Je z toho všeho vidět, že hlavní cíl harmonogramu migrace státních webů, jehož formulace obsahuje "efektivně, hospodárně a v maximální koordinaci" už některé státní orgány začaly odpovědně plnit.
Spíš je z toho vidět, že vůbec netušíte, že doména gov.cz existuje už spoustu let.

Neměly by tyto kroky obsahovat i to, že DIA nejprve z domény 'gov.cz' vymete tohle smetí (!), které se tady navršilo za ta léta nikým neřízeného websquattingu domény?
Ne. Jak jste správně napsal, měla by DIA provést účelné přípravné kroky. Vyhovět jednomu bláznovi, který plete páté přes deváté, účelné není.